Seit der Provider seinen eigenen FTP-Proxy angestellt hat stehe ich vor
einem gröberen Problem.
Istzustand:
Linuxkiste mit Squid und Apache dient als WWW-Cache, HTTP-Server
(Intranet) und Gateway/Firewall für ein LAN.
Bisher hat der Apache via ProxyRemmote alle FTP-Zugriffe auf den FTP-Proxy
des Providers ungeleitet. Leider hat der Provider diesen zugedreht und ist
nichteinmal mehr bereit ihn als Gateway zur Verfügung zu stellen.
Wenn ich den Squid mittels ftp_get als FTP-Proxy benutzen will kommen die
eingehenden IP-Pakete mit allen möglichen Portnummern daher, weswegen die
Firewall sie natürlich ablehnt. Ein System hinter der Portnummernvergabe
habe ich bisher nicht entdecken können.
Leider ist weder Netscape noch FTP-Programme unter Windows (also Zugriff
der Clients) in der Lage die Firewall ohne Proxy für FTP zu überspringen,
eine Linuxkiste kann das natürlich mittels IP-Masquarading (ist auf der
Firewall eingeschaltet).
Ich suche also nach einer Lösung, bei der FTP-Zugriffe über einen
FTP-Proxy laufen und die Antworten auf FTP-Anfragen von den
Internetseitigen FTP-Servern auf einem oder wenistens einigen wenigen
gleichbleibenden Ports zurückkommt.
Servus
Matthias
MFAW> Seit der Provider seinen eigenen FTP-Proxy angestellt hat stehe ich vor
MFAW> einem gröberen Problem.
MFAW> [...]
MFAW> Wenn ich den Squid mittels ftp_get als FTP-Proxy benutzen will kommen die
MFAW> eingehenden IP-Pakete mit allen möglichen Portnummern daher, weswegen die
MFAW> Firewall sie natürlich ablehnt. Ein System hinter der Portnummernvergabe
MFAW> habe ich bisher nicht entdecken können.
Betrifft das den Absender- oder den Ziel-Port? ftp-data (20) muesste doch
eigentlich wenigstens auf einer Seite festgebimst sein, oder?
MFAW> Ich suche also nach einer Lösung, bei der FTP-Zugriffe über einen
MFAW> FTP-Proxy laufen und die Antworten auf FTP-Anfragen von den
MFAW> Internetseitigen FTP-Servern auf einem oder wenistens einigen wenigen
MFAW> gleichbleibenden Ports zurückkommt.
Im Firewall-Toolkit ist ein ftp-Proxy enthalten, der Zugriffe auf sich selber
umlenkt, wenn man als user etwas des Formats
"us...@eigentlich.gewuenschter.server.domain"
angibt.
Hasta la vista,
Robert
--- GED2 3.00.Beta4+/#965ML7
* Origin: * Radio Bornheim - Die Stimme der Vernunft * (2:2461/332)
RD>Betrifft das den Absender- oder den Ziel-Port? ftp-data (20) muesste
RD>doch eigentlich wenigstens auf einer Seite festgebimst sein, oder?
Beide, bei den eingehenden Paketen. ftp_get schickt etwas auf einem beliebigen
( höher als 1024) weg und auf diesem Port kommt es auch zurück. Leider geht das
anscheinend nicht übr IP-Masquarading.
Mein nächster Versuch ist mittels
ipfwadm -I -a accept -r -P tcp -S 0.0.0.0/0 -D $OWN_IP 3128
alles was nicht vorher schon vorher in eine Regel fällt auf Squid umzuleiten,
mal sehen, ob das klappt.
RD>Im Firewall-Toolkit ist ein ftp-Proxy enthalten, der Zugriffe auf sich
RD>selber umlenkt, wenn man als user etwas des Formats
RD>
RD> "us...@eigentlich.gewuenschter.server.domain"
Das ist halt leider von Netscpape aus nicht transparent.
Servus
Matthias